Categories: Tecnologia

Como usar uma chave USB para desbloquear um PC criptografado com BitLocker

Habilite a criptografia do BitLocker e o Windows desbloqueará automaticamente sua unidade sempre que você iniciar o computador usando  o TPM embutido na maioria dos computadores modernos . Mas você pode configurar qualquer unidade flash USB como uma “chave de inicialização” que deve estar presente na inicialização antes que seu computador possa descriptografar sua unidade e iniciar o Windows.

Isso adiciona efetivamente a autenticação de dois fatores à criptografia do BitLocker. Sempre que iniciar o computador, você precisará fornecer a chave USB antes que ela seja descriptografada. Isso seria particularmente útil com uma pequena unidade USB que você carrega em um chaveiro.

Etapa um: habilite o BitLocker (se ainda não tiver feito isso)

Isso, obviamente, requer criptografia de unidade BitLocker, o que significa que só funciona nas edições Professional e Enterprise do Windows. Antes de seguir qualquer uma das etapas abaixo, você precisará habilitar a criptografia BitLocker na unidade  do sistema no Painel de Controle.

Se você sair do seu caminho para  habilitar o BitLocker em um PC sem um TPM , poderá optar por criar uma chave de inicialização USB como parte do processo de configuração. Isso será usado em vez do TPM. As etapas a seguir são necessárias apenas ao habilitar o BitLocker em computadores com TPMs, que a  maioria dos computadores modernos possui .

Se você tiver uma versão Home do Windows, não poderá usar o BitLocker. Você pode ter o  recurso Criptografia de dispositivo em vez disso, mas isso funciona de maneira diferente do BitLocker e não permite que você forneça uma chave de inicialização.

Etapa dois: habilitar a chave de inicialização no Editor de política de grupo

Depois de habilitar o BitLocker, você precisará habilitar o requisito da chave de inicialização na política de grupo do Windows. Para abrir o Editor de Política de Grupo, pressione Windows + R no teclado, digite “gpedit.msc” na caixa de diálogo Executar e pressione Enter.

Vá para Configuração do computador> Modelos administrativos> Componentes do Windows> Criptografia de unidade BitLocker> Unidades do sistema operacional na janela Política de grupo.

Clique duas vezes na opção “Exigir autenticação adicional na inicialização” no painel direito.

Selecione “Ativado” na parte superior da janela aqui. Em seguida, clique na caixa em “Configurar chave de inicialização TPM” e selecione a opção “Exigir chave de inicialização com TPM” opção. Clique em “OK” para salvar suas alterações.

Etapa três: configurar uma chave de inicialização para sua unidade

Agora você pode usar o manage-bdecomando para configurar uma unidade USB para sua unidade criptografada pelo BitLocker.

Primeiro, insira uma unidade USB em seu computador. Observe a letra da unidade USB – D: na captura de tela abaixo. O Windows salvará um pequeno arquivo .bek na unidade e é assim que ele se tornará sua chave de inicialização.

Em seguida, abra uma janela de Prompt de Comando como Administrador. No Windows 10 ou 8, clique com o botão direito do mouse no botão Iniciar e selecione “Prompt de Comando (Admin)”. No Windows 7, encontre o atalho “Prompt de Comando” no menu Iniciar, clique com o botão direito e selecione “Executar como Administrador”

Execute o seguinte comando. O comando a seguir funciona na sua unidade C :, portanto, se você quiser exigir uma chave de inicialização para outra unidade, digite a letra da unidade em vez de c:. Você também precisará inserir a letra da unidade da unidade USB conectada que deseja usar como chave de inicialização em vez de x:.

manage-bde -protectors -add c: -TPMAndStartupKey x:

A chave será salva na unidade USB como um arquivo oculto com a extensão de arquivo .bek. Você pode ver se mostrar arquivos ocultos .

Você será solicitado a inserir a unidade USB na próxima vez que inicializar o computador. Tenha cuidado com a chave – alguém que copia a chave de sua unidade USB pode usar essa cópia para desbloquear sua unidade criptografada pelo BitLocker.

Para verificar novamente se o protetor TPMAndStartupKey foi adicionado corretamente, você pode executar o seguinte comando:

manage-bde -status

(The “Numerical Password” key protector displayed here is your recovery key.)

How to Remove the Startup Key Requirement

If you change your mind and want to stop requiring the startup key later, you can undo this change. First, head back to the Group Policy editor and change the option back to “Allow Startup Key With TPM”. You can’t leave the option set to “Require Startup Key With TPM” or Windows won’t allow you to remove the startup key requirement from the drive.

Next, open a Command Prompt window as Administrator and run the following command (again, replacing c: if you’re using a different drive):

manage-bde -protectors -add c: -TPM

This will replace the “TPMandStartupKey” requirement with a “TPM” requirement, deleting the PIN. Your BitLocker drive will automatically unlock via your computer’s TPM when you boot.

To check that this completed successfully, run the status command again:

manage-bde -status c:

Try rebooting your computer first. If everything works properly and your computer doesn’t require the USB drive to boot, you’re free to format the drive or just delete the BEK file. You can also just leave it on your drive–that file won’t actually do anything anymore.


If you lose the startup key or delete the .bek file from the drive, you’ll need to provide the BitLocker recovery code for your system drive. You should have saved somewhere safe when you enabled BitLocker for your system drive.

Image Credit: Tony Austin/Flickr

maisroot

Recent Posts

O novo aplicativo “PC Manager” da Microsoft se parece muito com o CCleaner

Muitos aplicativos de limpeza estão disponíveis para Windows ao longo dos anos, mas hoje em…

1 ano ago

Como reiniciar um PS4

Seu PlayStation 4 está congelado? Seus jogos favoritos continuam travando? Reiniciar seu PS4 pode resolver…

1 ano ago

Veja por que as reticências são tão assustadoras ao enviar mensagens de texto…

A popularidade das mensagens de texto significou aprender uma forma totalmente nova de comunicação. Você…

1 ano ago

O telescópio James Webb acaba de capturar os “Pilares da Criação”

A foto dos "Pilares da Criação" tirada pelo Telescópio Espacial Hubble é uma das fotos…

1 ano ago

Você poderá baixar o Proton Drive mais cedo do que pensa

O Proton Drive saiu de seu estágio beta há algumas semanas, mas o aplicativo real…

1 ano ago

Como aumentar o zoom no Photoshop

Para ver suas fotos mais de perto ou para uma edição precisa , você pode…

1 ano ago